Visualizzazione post con etichetta sicurezza. Mostra tutti i post
Visualizzazione post con etichetta sicurezza. Mostra tutti i post

venerdì 18 agosto 2023

PowerShell: Individuare gli account AD senza un corretto tipo di crittografia

Gli aggiornamenti di Windows rilasciati a partire dall'8 novembre 2022 risolvono una vulnerabilità di bypass e elevazione dei privilegi con negoziazione di autenticazione mediante la negoziazione RC4-HMAC debole.
L'aggiornamento imposta AES come tipo di crittografia predefinito per le chiavi di sessione in account che non sono già contrassegnati con un tipo di crittografia predefinito. 

Per proteggere l'intero ambiente, bisogna procedere all'installazione degli aggiornamenti di Windows rilasciati a partire dall'8 novembre 2022 su tutti i dispositivi, inclusi i controller di dominio. 

È possibile che siano stati definiti in modo esplicito i tipi di crittografia degli account utente vulnerabili a CVE-2022-37966. Per cercare gli account in cui DES/RC4 è abilitato in modo esplicito o gli account che hanno un valore nullo di msds-SupportedEncryptionTypes è possibile utilizzare il seguente comando:

Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Dopo l'installazione degli aggiornamenti di Windows con data 8 novembre 2022 o successiva, per il protocollo Kerberos è disponibile la chiave del Registro di sistema seguente:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KDC]
"DefaultDomainSupportedEncTypes"=dword:00000027

Se è necessario modificare il tipo di crittografia supportato predefinito per un utente o un computer di Active Directory, aggiungere e configurare manualmente la chiave del Registro di sistema per impostare il nuovo tipo di crittografia supportata.

I controller di dominio Windows usano questo valore per determinare i tipi di crittografia supportati negli account in Active Directory il cui valore msds-SupportedEncryptionType è vuoto o non impostato. Un computer che esegue una versione supportata del sistema operativo Windows imposta automaticamente gli msds-SupportedEncryptionTypes per tale account di computer in Active Directory. Si basa sul valore configurato dei tipi di crittografia consentiti per il protocollo Kerberos.

Gli account utente, gli account del servizio gestito del gruppo e altri account in Active Directory non hanno il valore msds-SupportedEncryptionTypes impostato automaticamente. 

Il valore predefinito 0x27 (DES, RC4, Chiavi di sessione AES) è stato scelto come modifica minima necessaria per questo aggiornamento della sicurezza. Per una maggiore sicurezza è consigliabile impostare il valore di DefaultDomainSupportedEncTypes su 0x3C (in questo modo  sia per i ticket crittografati con AES che per le chiavi di sessione AES). Se si passa ad un ambiente solo AES in cui RC4 non viene utilizzato per il protocollo Kerberos, è consigliabile impostare il valore su 0x38.




martedì 15 febbraio 2022

Ransomware: Recuperare i file cifrati dai ransomware Maze, Egregor e Sekhmet

I ransomware Maze, Sekhmet ed Egregor criptano i file della vittima usando ChaCha8 e aggiungendo un'estensione casuale. Alle vittime viene fornita una nota su come pagare il riscatto simile a quella mostrata di seguito:
 Attention!  
   
 ----------------------------  
 | What happened?  
 ----------------------------  
   
 We hacked your network and now all your files, documents, photos, databases, and other important data are safely encrypted with reliable algorithms.  
 You cannot access the files right now. But do not worry. You can get it back! It is easy to recover in a few steps.  
   
 We have also downloaded a lot of private data from your network, so in case of not contacting us as soon as possible this data will be released.  
 If you do not contact us in a 3 days we will post information about your breach on our public news website and after 7 days the whole downloaded info.  
   
 To see what happens to those who don't contact us, google:  
 * Southwire Maze Ransomware  
 * MDLab Maze Ransomware  
 * City of Pensacola Maze Ransomware  
   
 After the payment the data will be removed from our disks and decryptor will be given to you, so you can restore all your files.  
   
 ----------------------------  
 | How to contact us and get my files back?  
 ----------------------------  
   
 The only method to restore your files and be safe from data leakage is to purchase a unique for you private key which is securely stored on our servers.   
 To contact us and purchase the key you have to visit our website in a hidden TOR network.  
   
 There are general 2 ways to reach us:  
   
 1) [Recommended] Using hidden TOR network.  
   
  a) Download a special TOR browser: https://www.torproject.org/  
  b) Install the TOR Browser.  
  c) Open the TOR Browser.  
  d) Open our website in the TOR browser: http://aoacugmutagkwctu.onion/[modificato]  
  e) Follow the instructions on this page.   
   
 2) If you have any problems connecting or using TOR network  
   
  a) Open our website: https://mazedecrypt.top/[modificato]  
  b) Follow the instructions on this page.  
   
 Warning: the second (2) method can be blocked in some countries. That is why the first (1) method is recommended to use.   
   
 On this page, you will see instructions on how to make a free decryption test and how to pay.  
 Also it has a live chat with our operators and support team.  
   
 ----------------------------  
 | What about guarantees?  
 ----------------------------  
   
 We understand your stress and worry.  
 So you have a FREE opportunity to test a service by instantly decrypting for free three files from every system in your network.  
 If you have any problems our friendly support team is always here to assist you in a live chat!  
   
 P.S. Dear system administrators, do not think you can handle it by yourself. Inform leadership as soon as possible.  
 By hiding the fact of the breach you will be eventually fired and sometimes even sued.  
 -------------------------------------------------------------------------------  
 THIS IS A SPECIAL BLOCK WITH A PERSONAL AND CONFIDENTIAL INFORMATION! DO NOT TOUCH IT WE NEED IT TO IDENTIFY AND AUTHORIZE YOU  
 ---BEGIN MAZE KEY---  
 [modificato]  
 ---END MAZE KEY---  
Da quando i server del ransomware Maze sono stati spenti nell'ottobre 2020, le vittime hanno sperato nel rilascio delle chiavi di crittazione per il recupero dei dati. Il rilascio è avvenuto questa settimana, dopo quasi 14 mesi. Gli sviluppatori dei ransomware (nel 2020 il gruppo di pirati Maze si è unito ad altri gruppi criminali esperti di ransomware come Egregor), infatti, hanno rilasciato le master key dei ransomware Maze, Egregor e Sekhmet in un post sul forum di BleepingComputer.
La società di sicurezza Emsisoft ha sviluppato e rilasciato in tempi brevi un tool per la decrittazione dei file. Il tool può essere scaricato dal seguente link

Recupero dei file

  • Il tool va eseguito come amministratore. Una volta avviato bisogna accettare i termini di licenza cliccando sul pulsante "I Agree" per proseguire.
    Emsisoft Termini di licenza
    FIG 1 - Emsisoft Termini di licenza

  • Cliccare sul pulsante "Browse" e selezionare la nota di riscatto (generalmente un file di testo con il nome del tipo DECRYPT-FILES.txt) quindi cliccare su "Start".
    Emsisoft Decryptor, selezione della nota di riscatto
    FIG 2 - Emsisoft Decryptor, selezione della nota di riscatto

  • Verrà mostrato un messaggio informativo sui dettagli della crittografia recuperati dalle informazioni contenute all'interno delle note di riscatto. Cliccare su OK.
    Decryptor Key Found
    FIG 3 - Decryptor Key Found

  • La scansione e il recupero dei file cifrati viene, di default, effettuata su tutti i dischi e drive removibili connessi al sistema. Tramite il pulsante "Add folder" è possibile aggiungere nuovi percorsi o rimuoverli utilizzando i pulsanti "Remove object(s)", per eliminare quelli selezionati, o "Clear object list" per azzerare l'elenco. All'interno della scheda Options è possibile indicare se mantenere o eliminare i file cifrati una volta decrittati. Dopo aver effettuato le personalizzazioni desiderate è possibile cliccare su "Decrypt" per avviare il processo.
    Emsisoft Decryptor for MazeSehkmetEgregor
    FIG 4 - Emsisoft Decryptor for MazeSehkmetEgregor

  • Nella scheda Results verranno mostrati i progressi nel recupero dei file cifrati. Al termine del recupero è possibile salvare il log cliccando sul pulsante "Save log" oppure copiarlo negli appunti cliccando su "Copy log to clipboard".

    Emsisoft Decryptor Results
    FIG 5 - Emsisoft Decryptor Results


 


venerdì 11 febbraio 2022

Windows 10: Tracciare gli accessi al FileSystem

In questo articolo verrà mostrato come tracciare gli accessi al FileSystem sul PC riprendendo quanto già visto negli articoli Windows 10: Visualizzare i tentativi di accesso al sistemaWindows 10: Verificare operazioni eseguite sugli account e cancellazione registri eventi  e Windows 10: Visualizzare i processi eseguiti da un utente sul PC.
Prima di procedere bisogna attivare l'audit (si veda l'articolo Windows 10: Attivazione audit) e, dato il numero elevato di eventi da tracciare, incrementare le dimensioni del registro eventi come indicato nell'articolo Windows 10: Aumentare la dimensione dei registri eventi.

Attivare l'audit su una cartella

Supponiamo di voler tracciare le operazioni che vengono eseguite su una cartella, ad es. C:\Test:
  • Cliccare, con il tasto destro del mouse, sulla cartella e selezionare, dal menu contestuale, la voce Proprietà.
  • Selezionare la scheda Sicurezza quindi cliccare su Avanzate.
    Proprietà cartella
    FIG 1 - Proprietà cartella

  • Selezionare la scheda Controllo quindi cliccare su Continua.
    Impostazioni avanzate di sicurezza
    FIG 2 - Impostazioni avanzate di sicurezza

  • A questo punto la finestra apparirà come in FIG 3 e saremo pronti a configurare l'audit sulla cartella. Windows consente di tracciare le operazioni eseguite da un singolo utente o da tutti gli utenti appartenenti ad un determinato gruppo. In questo articolo andremo a monitorare tutte le operazioni eseguite dagli utenti che appartengono ai gruppi Users e Administrators. Cliccare sul pulsante Aggiungi.
    Impostazioni avanzate di sicurezza, Voci di controllo
    FIG 3 - Impostazioni avanzate di sicurezza, Voci di controllo

  • Cliccare sul link Seleziona un'entità.
    Voci di controllo
    FIG 3 - Voci di controllo

  • Nella casella Immettere il nome dell'oggetto da selezionare, digitare users, cliccare sul pulsante Controlla nomi quindi confermare la scelta cliccando su OK.
    Seleziona Utente o Gruppo
    FIG 4 - Seleziona Utente o Gruppo

  • Una volta tornati alla finestra per l’impostazione dell’audit, selezionare la caselle di controllo relative alle attività che si intendono monitorare (Lettura ed esecuzione, Visualizzazione contenuto cartella, Lettura, Scrittura) e cliccare su OK per ritornare alla finestra principale dell'audit.
    Voci di controllo, Autorizzazioni di base
    FIG 5 - Voci di controllo, Autorizzazioni di base

  • Ripetere le stesse operazioni per il gruppo Administrators.
  • Ci ritroveremo in una situazione analoga a quella mostrata in FIG 6. Cliccare su OK per confermare le operazioni e chiudere la finestra Proprietà.
    Impostazioni avanzate di sicurezza
    FIG 6 - Impostazioni avanzate di sicurezza




Verifica operazioni eseguite su file o cartella (Evento ID 4656)

Per generare qualche evento da analizzare, eseguire qualche operazione all'interno della cartella come la creazione di un nuovo file di testo e la copia ed esecuzione di un file batch.
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
    Visualizzatore eventi
    FIG 7 - Visualizzatore eventi

  • L'evento che ci interessa è quello con ID 4656: È stato richiesto l'handle di un oggetto. L'evento viene generato ogniqualvolta un utente prova ad accedere a una risorsa (come un file oppure una directory) sottoposta ad audit. Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4656 e cliccare su OK.
    Filtro registro corrente
    FIG 8 - Filtro registro corrente

  • Se il numero dei risultati è elevato possiamo affinare ulteriormente la ricerca. Cliccare sul tasto Trova presente sul pannello destro della finestra. Inserire, nell'apposita casella, il nome della cartella (C:\Test) che si desidera controllare e cliccare su OK.
    Registro eventi, Trova
    FIG 9 - Registro eventi, Trova

  • L'evento contiene diverse informazioni suddivise per sezioni:
    Soggetto. Contiene informazioni relative all'utente che ha provato ad eseguire l'accesso. Tra i dati forniti in questa sezione troviamo ID Sicurezza, Nome Account, Dominio Account e l'ID accesso, un identificativo numerico che non viene ripetuto fino al successivo riavvio della macchina e che identifica la sessione di logon dell'utente consentendo di ricostruirne l'attività.
    Oggetto. Identifica l'oggetto del tentativo di accesso. In questa sezione vengono illustrati i campi Server dell'oggetto, il Tipo di oggetto, il Nome oggetto e il campo ID handle, un valore numerico che, come il campo ID accesso, non è ripetibile fino al successivo riavvio del sistema e che può essere utilizzato per ricostruire tutte le attività eseguite sull'oggetto nel corso di una sessione di lavoro.
    Informazioni sul processo. Identifica il processo/programma che ha effettuato, per conto dell'utente, l'accesso alla risorsa sotto audit. Viene indicato il Nome processo e l'ID processo.
    Informazioni di richiesta di accesso. In questa sezione vengono fornite informazioni aggiuntive sulla richiesta d'accesso tra cui l'ID transazione e il campo Accessi in cui vengono mostrati i permessi richiesti.
    Proprietà evento
    FIG 10 - Proprietà evento


Dalle proprietà dell'evento mostrato in FIG 11 si evince che il file c:\test\Nuovo documento di testo.txt è stato eliminato, attraverso il processo explorer.exe, dall'utente Virtual.
Evento ID 4656, File eliminato
FIG 11 - Evento ID 4656, File eliminato


L'evento mostrato in FIG 12 indica che il file batch C:\Test\fileBatch.bat è stato letto dal processo cmd.exe eseguito su richiesta dell'utente Virtual.
Evento ID 4656, File batch
FIG 12 - Evento ID 4656, File batch


Ricerca degli eventi tramite PowerShell

Vediamo come ricercare gli eventi all'interno del registro utilizzando PowerShell. Prendiamo come esempio l'evento mostrato in FIG 13 relativo ad un operazione eseguita all'interno della cartella C:\Test. L'evento ha come Handle ID 0x2fc8
Evento ID 4656, handle ID 0x2fc8
FIG 13 - Evento ID 4656, handle ID 0x2fc8

Possiamo effetture la ricera per l'Handle ID tramite il comando PowerShell
Get-WinEvent -FilterHashtable @{LogName='Security';data='0x2fc8'}| Format-List
PowerShell, Ricerca evento tramite Handle ID
FIG 14 - PowerShell, Ricerca evento tramite Handle ID

Ricostruire tutte le attività compiute su un oggetto o da un determinato utente  nell’ambito di una sessione di lavoro è complesso e leggere i risultati delle interrogazioni effettuate tramite PowerShell non è l'ideale.


Ricercare gli eventi tramite XPath

Per ricercare maggiori informazioni possiamo eseguire una query in formato XPath:
  • Da Visualizzatore eventi cliccare su Filtro registro corrente e nella casella <Tutti gli ID evento> digitare nuovamente l'ID 4656
  • Spostarsi sulla scheda XML. Verrà visualizzata la query XPath con i criteri di filtro inseriti. Per modificare la query manualmente selezionare la casella Modifica query manualmente e rispondere affermativamente alla successiva finestra di dialogo.
  • Modificare il contenuto della query come indicato di seguito sostituendo a 0x2c30 l'handle ID da ricercare.
    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID>0)]]and *[EventData[Data[@Name='HandleId']='0x2c30']]
        </Select>
      </Query>
    </QueryList>
  • Cliccando su OK verrà eseguita la query con le condizioni specificate.
    Query XPath
    FIG 15 - Query XPath
  • Dai risultati della query notiamo, oltre all'evento con ID 4656, anche nuovi eventi non osservati in precedenza con i seguenti ID:
    4663 "Tentativo di accedere a un oggetto." che viene generato quando il processo o gli utenti individuati dall'evento ID 4656 accedono all'oggetto.
    4658 "L' handle di un oggetto è stato chiuso." che viene generato quando il processo o gli utenti individuati dall'evento ID 4656 hanno terminato di utilizzare l'oggetto.
    Risultato query XPath
    FIG 16 - Risultato query XPath

  • Per verificare le operazioni eseguite dall'utente possiamo modificare la query come indicato di seguito (sostituendo Virtual con il nome dell'utente da verificare)
    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID>0)]]and *[EventData[Data[@Name='SubjectUserName']='Virtual']]
    	</Select>
      </Query>
    </QueryList>
  • Se vogliamo focalizzare la nostra attenzione sull'utente e sulle operazioni eseguite mediante Esplora file possiamo affinare la query in questo modo
    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID>0)]]and*[EventData[Data[@Name='SubjectUserName']='Virtual']]and
    	*[EventData[Data[@Name='ProcessName']='C:\Windows\explorer.exe']]
    	</Select>
      </Query>
    </QueryList>
  • Per visualizzare le operazioni eseguite da un particolare utente su un determinato file utilizzando Esplora file, la query da utilizzare sarà simile alla seguente
    <QueryList>
      <Query Id="0" Path="Security">
    	<Select Path="Security">
    	*[System[(EventID>0)]]and*[EventData[Data[@Name='SubjectUserName']='Virtual']]and
    	*[EventData[Data[@Name='ProcessName']='C:\Windows\explorer.exe']]and
    	*[EventData[Data[@Name='ObjectName']='C:\Test\FilePassword.txt']]
    	</Select>
      </Query>
    </QueryList>





giovedì 5 agosto 2021

Windows 10: Verificare operazioni eseguite sugli account e cancellazione registri eventi

Quest'articolo prosegue gli argomenti trattati negli articoli Windows 10: Attivazione audit e Windows 10: Visualizzare i tentativi di accesso al sistema nei quali abbiamo visto come attivare l'audit e come visualizzare gli accessi riusciti e non riusciti al nostro sistema. 

Verificare gli accessi al sistema può non bastare ed è opportuno approfondire l'indagine al fine di individuare eventuali falle di sicurezza del sistema operativo o di uno dei software presenti sulla macchina. Per tale motivo è bene indagare anche su cosa ha effettuato il malintenzionato una volta avuto accesso al sistema come:
  • Programmi eseguiti.
  • Accessi al disco.
  • Cancellazione dei registri eventi e log al fine di nascondere l'intrusione.
  • Creazione di account utente e modifica di gruppi per lasciarsi una via di accesso nel caso in cui la vulnerabilità sfruttata per ottenere l'accesso venisse patchata.
  • Cancellazione di account utente (che potrebbero ricondurre all'intrusione).

Verificare account eliminati (Evento ID 4726)
Per verificare se qualche account è stato eliminato e chi ha eseguito l'operazione possiamo procedere nel seguente modo:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
    Registro eventi Sicurezza
    FIG 1 - Registro eventi Sicurezza

  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4726 (l'ID corrisponde all'evento: Un account utente è stato eliminato) e cliccare su OK.
    Filtro registro corrente, ID 4726
    FIG 2 - Filtro registro corrente, ID 4726

  • Come visibile in figura l'evento riporta l'autore della rimozione (Nella sezione Soggetto, Nome Account: Virtual), il nome e il SID dell’utente rimosso (sezione Account di destinazione, ID sicurezza:S-1-5-21....., Nome account:Test) oltre ad altre informazioni come la data e l'ora in cui l'operazione è stata eseguita.
    Un account utente è stato eliminato
    FIG 3 - Un account utente è stato eliminato


Verificare account rimossi da gruppi (Evento ID 4733)
Per verificare se qualche utente è stato rimosso da qualche gruppo:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4733 (l'ID corrisponde all'evento: È stato rimosso un membro da un gruppo locale con sicurezza attivata) e cliccare su OK.
  • L'evento riporta l'autore della rimozione (Nella sezione Soggetto, Nome Account: Virtual), l'account rimosso dal gruppo (sezione Membro, ID sicurezza: DELL-XPS/Test2), il gruppo da cui è stato rimosso (Sezione Gruppo, ID sicurezza: BUILTIN/Utenti desktop remoto).
    È stato rimosso un membro da un gruppo locale con sicurezza attivata
    FIG 4 - È stato rimosso un membro da un gruppo locale con sicurezza attivata


Verificare account inseriti in gruppi (Evento ID 4732)
Nei seguenti passaggi viene mostrato come verificare se un account è stato inserito all'interno di un gruppo. Un malintenzionato può aver aggiunto un normale account utente, con privilegi limitati, al gruppo amministratore, con privilegi elevati:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4732 (l'ID corrisponde all'evento: È stato aggiunto un membro a un gruppo locale con sicurezza attivata) e cliccare su OK.
  • L'evento riporta l'autore dell'operazione (sezione Soggetto, Nome Account: Virtual), l'account aggiunto al gruppo (sezione Membro, ID sicurezza: DELL-XPS/Test2), il gruppo da cui è stato aggiunto (sezione Gruppo, ID sicurezza: BUILTIN/Utenti desktop remoto).
    È stato aggiunto un membro a un gruppo locale con sicurezza attivata
    FIG 5 - È stato aggiunto un membro a un gruppo locale con sicurezza attivata


Verificare creazione nuovo account (Evento ID 4720)
Per verificare se sono stati creati nuovi account utente:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4720 (l'ID corrisponde all'evento: È stato creato un account utente) e cliccare su OK.
  • L'evento riporta l'autore dell'operazione (sezione Soggetto, Nome Account: Virtual), l'account creato (sezione Membro, ID sicurezza: DELL-XPS/Test2, Nome account: Test2)e ulteriori informazioni.
    È stato creato un account utente
    FIG 6 - È stato creato un account utente

Verifica disconnessione dell'utente (Evento ID 4647)
Per verificare quando un utente ha effettuato il logoff basta ricercare l'evento con ID 4647:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4647 (l'ID corrisponde all'evento: Disconnessione avviata dall'utente) e cliccare su OK.
  • L'evento riporta l'autore (sezione Soggetto, Nome Account: Virtual), la data e l'ora dell'operazione.
    Disconnessione avviata dall'utente
    FIG 7 - Disconnessione avviata dall'utente


Verifica cancellazione del registro (Evento ID 1120)
Un utente con privilegi amministrativi sulla macchina può cancellare completamente il contenuto del registro per nascondere le proprie tracce. L'operazione, tuttavia, genera un evento con ID 1120. Per verificare se il registro è stato svuotato e da chi:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 1120 (l'ID corrisponde all'evento: Registro di controllo cancellato) e cliccare su OK.
  •  L'evento riporta l'autore (sezione Soggetto, Nome Account: Virtual), la data e l'ora dell'operazione.
    Registro di controllo cancellato
    FIG 8 - Registro di controllo cancellato





martedì 3 agosto 2021

Windows 10: Attivazione audit

La tracciatura degli eventi impostata di default in Windows, a differenza di altri sistemi operativi come GNU/Linux, risulta troppo limitata per consentire di individuare con certezza un eventuale intrusione fornendo informazioni dettagliate.

Fortunatamente è possibile ovviare a questa mancanza in maniera molto semplice attraverso l'utilizzo dell'Editor Criteri di gruppo locali:
  • Avviare, con un utente amministratore, l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
  • Selezionare il percorso Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo;
    Editor Criteri di gruppo locali
    FIG 1 - Editor Criteri di gruppo locali

  • Bisogna attivare tutte le voci che appaiono sul pannello destro ad eccezione di Controlla accesso al servizio directory  in quanto, in questo caso, il PC non è connesso al dominio. Per l'attivazione basta cliccare due volte sul criterio e selezionare le caselle Operazioni riuscite e Operazioni non riuscite.
    Proprietà criterio di controllo


Di seguito i dettagli dei criteri di controllo.

Controlla accesso agli oggetti
Questa impostazione di sicurezza specifica se il sistema operativo controlla i tentativi di accesso a oggetti non Active Directory.

Controlla accesso al servizio directory
Specifica se il sistema operativo controlla i tentativi di accesso agli oggetti Active Directory. Nel caso di PC non connesso a dominio tale controllo non va attivato.

Controlla eventi accesso account
Specifica se il sistema operativo controlla o meno gli eventi di convalida delle credenziali di un account nel computer in uso.

Controlla eventi di accesso
Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo evento di accesso o fine sessione nel computer in uso.  

Controlla eventi di sistema
Questa impostazione di sicurezza specifica se il sistema operativo controlla uno degli eventi seguenti: 
  • Tentativo di modifica dell'ora di sistema
  • Tentativo di avvio o arresto del sistema di sicurezza
  • Tentativo di caricare componenti di autenticazione estendibili
  • Perdita di eventi controllati a causa di un errore del sistema di controllo
  • Dimensione del registro di sicurezza superiore a un livello soglia di avviso configurabile.

Controlla gestione degli account
Specifica se è necessario controllare ogni singolo evento di gestione degli account in un computer. Esempi di eventi di gestione degli account:
  • Creazione, modifica o eliminazione di un account utente o di un gruppo.
  • Ridenominazione, attivazione o disattivazione di un account utente.
  • Impostazione o modifica di una password.

Controlla modifica ai criteri
Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo tentativo di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità. 


Controlla esito processi
Questa impostazione di sicurezza determina se il sistema operativo controlla o meno gli eventi correlati ai processi, ad esempio la creazione e la chiusura di un processo, la duplicazione degli handle e l'accesso indiretto agli oggetti. 


Controlla uso dei privilegi
Questa impostazione di sicurezza specifica se controllare o meno ogni singolo evento di utilizzo di un diritto utente da parte di un utente.




giovedì 15 luglio 2021

Verificare un URL prima di aprirlo sul proprio sistema

Una buona parte dei tentativi di truffa e di attacco da parte dei criminali informatici utilizzano collegamenti web camuffati. Prima di cliccare su un collegamento ricevuto tramite email, sms, WhatsApp o altre applicazioni è buona norma assicurarsi che il link non sia pericoloso (anche se il mittente è una persona a noi nota e attendibile).

Nell'articolo Verificare se un sito web è sicuro con Zulu URL Risk Analyzer abbiamo già visto come analizzare la sicurezza di un URL attraverso il servizio zscalerIn questo articolo vedremo altri due strumenti che ci vengono in aiuto per la nostra analisi.

WhereGoes
Il primo tool è WhereGoes che consente di tracciare i percorsi di reindirizzamento completi di un URL permettendo di verificare il sito reale a cui punta. In questo modo si risale facilmente all'indirizzo completo a cui punta un URL accorciata da servizi come TinyUrl e bitly.
WhereGoes
FIG 1 - WhereGoes


Browserling
Il sito Browserling mette a disposizione una mini virtual machine temporanea in cui è possibile selezionare il sistema operativo e il browser da utilizzare per la verifica dell'URL sospetto senza mettere a rischio il proprio sistema. La versione gratuita del tool richiede l'attesa di una coda dalla durata variabile (generalmente un minuto o poco più) e la scelta del sistema operativo e del browser è limitata. Una volta scaduto il tempo di attesa, verrà caricato il sistema operativo e il browser selezionato per un periodo di tempo limitato ma comunque più che sufficiente per testare il nostro URL.
browserling
FIG 2 - Browserling




giovedì 17 ottobre 2019

Windows 10: Disabilitare l'assistenza remota

Windows 10 include la funzione Assistenza remota che permette all'utente, in caso di difficoltà, di richiedere l'aiuto di una persona più esperta permettendogli di connettersi al proprio computer da remoto. La funzione è attiva di default ma, per ragioni di sicurezza, converrebbe tenerla disabilitata.
Per accedere velocemente alle opzioni di Assistenza remota e disabilitarla:
  • Cliccare, con il tasto destro del mouse, sull'icona Start e seleziona Esegui dal menu contestuale (in alternativa premere la combinazione di tasti WIN+R);
  • Nella finestra di dialogo Esegui, digitare ed eseguire il comando
    systempropertiesremote 
  • Nella finestra Proprietà del sistema che appare a video, togliere la spunta alla casella Consenti connessioni di Assistenza remota al computer e cliccare sul pulsante OK per confermare la modifica.
    Windows 10, Assistenza remota al computer
    FIG 1 - Windows 10, Assistenza remota al computer

Per abilitare, in caso di necessità, la funzione di Assistenza remota, basterà procedere in maniera analoga e riattivare la spunta all'apposita casella.




lunedì 12 agosto 2019

Individuare l'indirizzo IP di uno smartphone tramite IPLogger

Per individuare l'indirizzo IP e altre informazioni di uno smartphone (o di altri dispositivi) di una persona esistono diversi metodi, uno di questi prevede l'utilizzo del Web Tool IPLogger.
Si tratta di un sito Web che permette di generare un link di tracciamento da inviare alla vittima:
  • Accedere alla pagina https://iplogger.org;
  • Cliccare su URL & Image Shortener;
    IPLogger, URL & Image Shortener
    FIG 1 - IPLogger, URL & Image Shortener
  • Nell'apposita casella digitare l'indirizzo di una pagina web a cui la vittima verrà reindirizzata quando clicca sul link (ad es. https://giovannilubrano.blogspot.com) e cliccare sul pulsante Shorten;
    IPLogger, Link Shorten
    FIG 2 - IPLogger, Link Shorten
  • A questo punto ci troveremo dinanzi alla schermata mostrata in FIG 3 con i seguenti campi
    - Your IPLogger link for collecting statistics
    E' la riga contenente il link da inviare alla vittima (ad es. tramite WhatsApp).
    - You may edit target redirection URL
    E' la pagina a cui la vittima verrà reindirizzata quando clicca sul link.
    - Select a domain name that will be used in your IPLogger link
    Consente di modificare il dominio del link in modo da renderlo meno riconoscibile.
    - Your IPLogger link for displaying 100 IPs without recording data into database
    Visualizza l'elenco degli IP delle ultime 100 visite.
    - Link for viewing statistics
    Link per visualizzare informazioni sul dispositivo della vittima (IP, device, sistema operativo, browser, ecc).
    - IPLogger ID (Required for accessing logger statistics!!!)
    ID per la visualizzazione delle statistiche.
    IPLogger, Information
    FIG 3 - IPLogger, Information
  • Colleghiamoci alla pagina indicata nel campo Link for viewing statistics. Quando la vittima cliccherà sul collegamento verranno visualizzate informazioni sul dispositivo come l'indirizzo IP, il provider, posizione (approssimativa), Sistema Operativo, tipo e nome dispositivo, tipo di browser e versione, ecc.

    IPLogger, Logged IP
    FIG 4 - IPLogger, Logged IP

Per camuffare ulteriormente il link da inviare alla vittima è possibile "accorciarlo" ulteriormente attraverso altri servizi come bitly.com.



ATTENZIONE:
Danneggiare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.






venerdì 2 agosto 2019

HTTP, P2P e WebRTC leak

Nell'articolo Verifica DNS Leak ho già parlato dei leak relativi ai DNS. Un concetto simile può essere applicato anche alle richieste HTTP, P2P e WebRTC.

Per verificare se su propri dispositivi le richieste HTTP e quelle relative alle reti P2P soffrono di problemi di leak basta eseguire il test sui seguenti siti https://www.doileak.com e https://ipleak.net.


www.doileak.com
FIG 1 - www.doileak.com


ipleak.net
FIG 2 - ipleak.net

WebRTC è un protocollo utilizzato dai browser per stabilire una connessione punto a punto con il server per ricevere e trasmettere stream audio/video. Questo tipo di connessioni possono bypassare il tunnel VPN (attraverso il quale passa il normale flusso dati) e svelare il reale indirizzo IP dell'utente. Anche per quanto riguarda i WebRTC leak è possibile verificare se il proprio browser è vulnerabile utilizzando il test presente su https://www.doileak.com.

Un altro tipo di leak potenzialmente pericoloso è quello che riguarda i browser di Microsoft: Internet Explorer e Edge. Tali browser, infatti, possono comunicare all'esterno informazioni sensibili come il nome utente e l'hash della password di Windows. Tali informazioni non solo facilitano la violazione dell'account, nel caso di password piuttosto semplici, tramite attacchi di brute force ma rappresentano "un'impronta digitale" che consente di tracciare l'utente anche attraverso Tunnel VPN. Per verificare questa vulnerabilità basta visitare la pagina https://msleak.perfect-privacy.com. Il sito è sicuro ma, contenendo uno script che individua ed estrae informazioni personali attraverso il browser, potrebbe essere bloccato da qualche antivirus/antimalware.
msleak.perfect-privacy.com
FIG 3 - msleak.perfect-privacy.com






giovedì 1 agosto 2019

Verifica DNS Leak

Quando si è connessi ad Internet è necessario fare attenzione ai cosiddetti leak, ovvero situazioni che possono rilevare informazioni personali teoricamente protette. Tra i leak più comuni troviamo i DNS leak. Anche quando connessi tramite una VPN bisogna prestare attenzione in quanto non tutte le VPN proteggono gli utenti dai DNS leak e le richieste di risoluzione DNS potrebbero continuare ad essere inviate al provider che fornisce la connettività con buona pace della nostra privacy. Alcuni Internet provider e alcune reti aziendali, inoltre, potrebbero implementare tecniche come il Transparent DNS Proxy che intercetta le chiamate DNS deviandole verso server locali indipendentemente dalla configurazione impostata dall'utente sui propri dispositivi.
Per testare la propria configurazione è possibile visitare l'indirizzo https://www.dnsleaktest.com.

DNS Leak Test
FIG 1 - DNS Leak Test


Eseguendo un test esteso verranno rilevati i DNS a cui il nostro dispositivo invia le richieste di risoluzione indirizzi. Se siamo connessi ad una VPN e i server mostrati in elenco non sono quelli forniti dal servizio VPN allora abbiamo un problema di DNS Leak e i nostri dati potrebbero essere esposti. I proprietari dei server, infatti, possono associare il nostro indirizzo IP al nome dei siti che visitiamo e mantenere/rivendere queste informazioni per un tempo indefinito.


Risultati test DNS Leak
FIG 2 - Risultati test DNS Leak